การแกะไฟล์ (File carving)คือ กระบวนการประกอบไฟล์คอมพิวเตอร์ขึ้นใหม่จากชิ้นส่วนต่างๆ โดยปราศจาก ข้อมูลเมตาของระบบไฟล์

เทคนิคนี้ใช้ในงานนิติวิทยาศาสตร์ด้านไอทีและการกู้คืนข้อมูล โดยทั่วไปแล้ว การแกะไฟล์ (Carving) จะใช้กับสื่อจัดเก็บข้อมูลที่มีระบบไฟล์เสียหาย หรือพื้นที่จัดเก็บข้อมูลที่ระบุว่าว่างในระบบไฟล์ที่มีอยู่

ระบบไฟล์ทุกระบบจะมีเมตาเดตา บางส่วน ที่อธิบายถึงระบบไฟล์จริง อย่างน้อยที่สุด เมตาเดตานี้จะรวมถึงลำดับชั้นของโฟลเดอร์และไฟล์ พร้อมชื่อสำหรับแต่ละไฟล์ นอกจากนี้ ระบบไฟล์ยังจะบันทึกตำแหน่งทางกายภาพบนอุปกรณ์จัดเก็บข้อมูลที่จัดเก็บไฟล์แต่ละไฟล์ไว้ ดังที่อธิบายไว้ด้านล่าง ไฟล์อาจกระจัดกระจายอยู่ในส่วนต่าง ๆ ของที่อยู่ทางกายภาพที่แตกต่างกัน

การแยกไฟล์คือกระบวนการพยายามกู้คืนไฟล์โดยไม่มีข้อมูลเมตา โดยจะทำการวิเคราะห์ข้อมูลดิบและระบุว่าเป็นอะไร (ข้อความ, ไฟล์ปฏิบัติการ, png, mp3 เป็นต้น) ซึ่งสามารถทำได้หลายวิธี แต่วิธีที่ง่ายที่สุดคือการค้นหาลายเซ็นไฟล์หรือ "หมายเลขวิเศษ" ที่ระบุจุดเริ่มต้นและ/หรือจุดสิ้นสุดของประเภทไฟล์เฉพาะ^{[ 1 ]}ตัวอย่างเช่น ไฟล์คลาส Java ทุกไฟล์จะมีค่าเลขฐานสิบหกเป็นสี่ไบต์แรกCA FE BA BEบางไฟล์ยังมีส่วนท้าย ทำให้การระบุจุดสิ้นสุดของไฟล์ทำได้ง่ายเช่นกัน

ระบบไฟล์ส่วนใหญ่ เช่น ตระกูล FATและFast File System ของ UNIX ทำงานโดยใช้แนวคิดของกลุ่มข้อมูลที่มีขนาดเท่ากันและคงที่ ตัวอย่างเช่น ระบบไฟล์ FAT32อาจถูกแบ่งออกเป็นกลุ่มข้อมูลขนาด 4 KiB แต่ละกลุ่ม ไฟล์ใดๆ ที่มีขนาดเล็กกว่า 4 KiB จะอยู่ในกลุ่มข้อมูลเดียว และในแต่ละกลุ่มข้อมูลจะมีไฟล์เพียงไฟล์เดียวเท่านั้น ไฟล์ที่มีขนาดมากกว่า 4 KiB จะถูกจัดสรรไปยังหลายกลุ่มข้อมูล บางครั้งกลุ่มข้อมูลเหล่านี้อยู่ติดกัน ในขณะที่บางครั้งอาจกระจัดกระจายอยู่บนส่วนย่อย สองส่วนหรือมากกว่านั้น โดยแต่ละส่วนย่อยประกอบด้วยกลุ่มข้อมูลที่อยู่ติดกันจำนวนหนึ่งซึ่งจัดเก็บข้อมูลส่วนหนึ่งของไฟล์ เห็นได้ชัดว่าไฟล์ขนาดใหญ่มีแนวโน้มที่จะถูกแบ่งเป็นส่วนย่อยมากกว่า

Simson Garfinkel ^{[ 2 ]}รายงานสถิติการแตกตัวของข้อมูลที่รวบรวมจากดิสก์มากกว่า 350 แผ่นที่มีระบบไฟล์FAT , NTFSและUFS เขาแสดงให้เห็นว่าในขณะที่การแตกตัวของข้อมูลในดิสก์ทั่วไปนั้นต่ำ อัตราการแตกตัวของข้อมูลของไฟล์ที่สำคัญทางนิติวิทยาศาสตร์ เช่น อีเมล JPEGและ เอกสาร Wordนั้นค่อนข้างสูง พบว่าอัตราการแตกตัวของไฟล์ JPEG อยู่ที่ 16% เอกสาร Word มีการแตกตัว 17% ไฟล์ AVIมีอัตราการแตกตัว 22% และไฟล์ PST ( Microsoft Outlook ) มีอัตราการแตกตัว 58% (เศษส่วนของไฟล์ที่แตกตัวเป็นสองส่วนขึ้นไป) Pal, Shanmugasundaram และ Memon ^{[ 3 ]}นำเสนออัลกอริทึมที่มีประสิทธิภาพโดยอิงจากฮิวริสติกแบบโลภและการตัดกิ่งอัลฟา-เบตาสำหรับการประกอบภาพที่แตกตัว Pal, Sencar และ Memon ^{[ 4 ]}แนะนำการทดสอบสมมติฐานตามลำดับเป็นกลไกที่มีประสิทธิภาพสำหรับการตรวจจับจุดแตกตัว Richard และ Roussev ^{[ 5 ]}นำเสนอ Scalpel ซึ่งเป็นเครื่องมือแกะสลักไฟล์แบบโอเพนซอร์ส^{[ 6 ]}ที่มีอยู่ตั้งแต่ปี 2005 และเริ่มต้นจาก Foremost ^{[ 7 ]}

การแยกส่วนไฟล์เป็นงานที่ซับซ้อนมาก โดยมีจำนวนการเรียงลำดับที่เป็นไปได้มากมายมหาศาล เพื่อให้งานนี้สามารถจัดการได้ง่ายขึ้นซอฟต์แวร์แยกส่วนไฟล์จึงมักใช้แบบจำลองและวิธีการเชิงอนุมานอย่างกว้างขวาง ซึ่งจำเป็นไม่เพียงแต่ในแง่ของเวลาในการประมวลผลเท่านั้น แต่ยังรวมถึงความถูกต้องแม่นยำของผลลัพธ์ด้วย อัลกอริทึมการแยกส่วนไฟล์ที่ทันสมัยใช้เทคนิคทางสถิติ เช่นการทดสอบสมมติฐานแบบลำดับเพื่อกำหนดจุดการแตกกระจายของ ไฟล์

ในกรณีส่วนใหญ่ เมื่อไฟล์ถูกลบ ข้อมูลในเมตาเดตาของระบบไฟล์จะถูกลบออกไปด้วย แต่ข้อมูลจริงยังคงอยู่บนดิสก์ การกู้คืนข้อมูลจากฮาร์ดดิสก์สามารถทำได้โดยวิธี "การแกะไฟล์" (File carving) ซึ่งเมตาเดตาอาจถูกลบหรือเสียหาย และกระบวนการนี้อาจประสบความสำเร็จแม้หลังจากฟอร์แมตหรือแบ่งพาร์ติชั่นไดรฟ์ใหม่แล้วก็ตาม

การแยกไฟล์สามารถทำได้โดยใช้ซอฟต์แวร์ฟรีหรือเชิงพาณิชย์ และมักจะทำควบคู่ไปกับการตรวจสอบทางนิติวิทยาศาสตร์คอมพิวเตอร์ หรือควบคู่ไปกับความพยายามในการกู้คืนอื่นๆ (เช่น การซ่อมแซมฮาร์ดแวร์) โดย บริษัทกู้คืนข้อมูล^{[ 8 ]} ในขณะที่เป้าหมายหลักของการกู้คืนข้อมูลคือการกู้คืนเนื้อหาของไฟล์ ผู้ตรวจสอบทางนิติวิทยาศาสตร์คอมพิวเตอร์มักจะสนใจข้อมูลเมตา เช่น ใครเป็นเจ้าของไฟล์ จัดเก็บไว้ที่ใด และแก้ไขครั้งล่าสุดเมื่อใด^{[ 9 ]} ดังนั้น ในขณะที่ผู้ตรวจสอบทางนิติวิทยาศาสตร์สามารถใช้การแยกไฟล์เพื่อพิสูจน์ว่าไฟล์นั้นเคยถูกจัดเก็บไว้บนฮาร์ดไดรฟ์ เขาหรือเธออาจจำเป็นต้องค้นหาหลักฐานอื่นๆ เพื่อพิสูจน์ว่าใครเป็นผู้ใส่ไฟล์นั้นลงไป

Garfinkel ^{[ 2 ]}ได้แนะนำการใช้การตรวจสอบวัตถุอย่างรวดเร็วเพื่อประกอบไฟล์ที่ถูกแบ่งออกเป็นสองส่วน เทคนิคนี้เรียกว่า Bifragment Gap Carving (BGC) โดยจะระบุชุดชิ้นส่วนเริ่มต้นและชุดชิ้นส่วนสุดท้าย ชิ้นส่วนเหล่านั้นจะถูกประกอบใหม่หากรวมกันแล้วเป็นวัตถุที่ถูกต้อง

Pal ^{[ 3 ]}ได้พัฒนารูปแบบการแกะสลักที่ไม่จำกัดเฉพาะไฟล์ที่แตกเป็นสองส่วน เทคนิคนี้เรียกว่า SmartCarving ซึ่งใช้หลักการเชิงอนุมานเกี่ยวกับพฤติกรรมการแตกส่วนของระบบไฟล์ที่รู้จัก อัลกอริทึมนี้มีสามขั้นตอน ได้แก่ การประมวลผลล่วงหน้า การเรียงลำดับ และการประกอบใหม่ ในขั้นตอนการประมวลผลล่วงหน้า บล็อกจะถูกคลายการบีบอัดและ/หรือถอดรหัสหากจำเป็น ในขั้นตอนการเรียงลำดับ บล็อกจะถูกจัดเรียงตามประเภทไฟล์ ในขั้นตอนการประกอบใหม่ บล็อกจะถูกวางตามลำดับเพื่อสร้างไฟล์ที่ถูกลบขึ้นใหม่ อัลกอริทึม SmartCarving เป็นพื้นฐานสำหรับ แอปพลิเคชัน Adroit Photo Forensicsและ Adroit Photo Recovery จาก Digital Assembly

สามารถแกะสลักภาพสแนปช็อตของหน่วยความจำชั่วคราวของคอมพิวเตอร์ (เช่น RAM) ได้ การแกะสลักหน่วยความจำดัมพ์ถูกใช้เป็นประจำในนิติวิทยาศาสตร์ดิจิทัล ทำให้นักสืบสามารถเข้าถึงหลักฐานชั่วคราวได้ หลักฐานชั่วคราวรวมถึงรูปภาพและเว็บเพจที่เข้าถึงล่าสุด เอกสาร แชท และการสื่อสารที่เกิดขึ้นผ่านเครือข่ายสังคม ตัวอย่างเช่น LiME ^{[ 10 ]}สามารถใช้ร่วมกับ Volatility ^{[ 11 ]}เพื่อทำงานดังกล่าวได้ หากมีการใช้ไดรฟ์ที่เข้ารหัส ( TrueCrypt , BitLocker , PGP Disk ) คีย์ไบนารีสำหรับคอนเทนเนอร์ที่เข้ารหัสสามารถดึงออกมาและใช้เพื่อเมานต์ไดรฟ์ดังกล่าวได้ทันที เนื้อหาของหน่วยความจำชั่วคราวจะแตกเป็นส่วนๆ อัลกอริทึมการแกะสลักที่เป็นกรรมสิทธิ์ได้รับการพัฒนาโดย Belkasoft เพื่อให้สามารถแกะสลักชุดหน่วยความจำที่แตกเป็นส่วนๆ ได้ (BelkaCarving)

• การกู้คืนข้อมูล
• การตรวจจับและแก้ไขข้อผิดพลาด
• โบราณคดีข้อมูล
• สิ่งสำคัญที่สุด (ซอฟต์แวร์)
• โฟโต้เรค
• กู้คืนไฟล์ของฉัน
• ไอโซบัสเตอร์